TR/Crypt.ZPACK.Gen

Printable View

05.06.2010, 11:31
prof_f

TR/Crypt.ZPACK.Gen

Каждый день Авира (при каждой полной проверке) находит:

Файл 'C:\WINDOWS\system32\drivers\xpufiqoe.sys'
содержит вирус или вредоносную программу 'TR/Crypt.ZPACK.Gen' [trojan].

CureIt (в безопасном режиме ничего не нашел).

Система стала тормозить, процессы запускаються дольше, часто виснут.
05.06.2010, 11:53
thyrex

Скачайте [URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/URL]. В меню драйверов правой кнопкой по [B]xpufiqoe[/B] и выберите "Turn Run Off". Перезагрузку подтвердите.

Лог работы OSAM запакуйте и прикрепите к своему сообщению

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\xpufiqoe.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\xpufiqoe.sys');
DeleteService('xpufiqoe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
05.06.2010, 13:02
prof_f

Инструкции выполнил.
Запакованный лог OSAM приложил.
Новые логи тоже.
Карантин выслал согласно Приложения 3. (Получили?)
05.06.2010, 13:07
prof_f

Маленькое дополнение. После отключения [B]xpufiqoe[/B] при каждой перезагрузке выскакивает ошибка типа: spoolsv.exe Инструкция по адресу ............. обратилась к памяти по адресу .............. Память не может быть read.

Такого до появления вируса не наблюдалось.
05.06.2010, 13:25
thyrex

Поищите файл C:\WINDOWS\Web\printers\images\userinit.bat

Пофиксите в hiJack
[CODE]F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\Web\printers\images\userinit.bat[/CODE]

Ошибка пропала?
05.06.2010, 13:38
prof_f

Пофиксил.
Ошибка пропала. Спасибо.

Удалось вирус вывести? Или может еще что-то осталось?
05.06.2010, 14:11
thyrex

[QUOTE='thyrex;649907']Поищите файл C:\WINDOWS\Web\printers\images\userinit.bat[/QUOTE]Искали? Нашли?
05.06.2010, 17:51
prof_f

Да такой файл в указанной папке присутствует.
05.06.2010, 21:50
thyrex

Запакуйте его с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
05.06.2010, 23:17
prof_f

Запаковал. Выслал.
05.06.2010, 23:47
thyrex

C:\WINDOWS\web\printers\images\.vbs поищите и пришлите по ссылке
06.06.2010, 00:02
prof_f

Нашел, есть такой. Выслал.
Сразу извиняюсь за маленькое самовольство - я так же вложил в архив файл Autorun.inf который находится в этой же папке C:\WINDOWS\web\printers\images\

Мне все автораны подозрительны.
06.06.2010, 00:08
thyrex

В последнем карантине Trojan.Win32.AutoRun.aak и Worm.VBS.Autorun.ja
06.06.2010, 00:16
prof_f

не подскажете как избавится? просто удалить файл?
06.06.2010, 00:23
thyrex

Да, удаляйте все три файла
06.06.2010, 00:27
prof_f

Удалил. Получается они и были источником?

Спасибо за помощь.
06.06.2010, 00:40
thyrex

Может быть и так
06.06.2010, 00:45
prof_f

Еще раз спасибо!
07.06.2010, 00:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \autorun.inf - [B]Trojan.Win32.AutoRun.aak[/B] ( BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun.gen trojan, AVAST4: VBS:Malware-gen )[*] \.vbs - [B]Worm.VBS.Autorun.ja[/B] ( NOD32: BAT/Autorun.BB worm, AVAST4: VBS:Malware-gen )[/LIST][/LIST]